我正在尝试创build通配符SSL证书与主题备用名称(SAN)在IIS 7.5中使用,我有一些问题。 因为我需要包含SAN,所以我使用的是Windows证书pipe理单元下的“自定义证书申请”工具。 到目前为止,当我使用“IIS 7.5创build证书请求”向导以及使用“自定义证书请求”向导(位于“证书”pipe理单元)中的工作SAN证书时,我设法获得了工作通配符证书,但是我一直无法得到两个在同一个证书工作。 我使用“自定义证书请求”向导生成的证书具有以下属性: 主题名称: CN = *。domain.local 备用名称: DNS = domain.local 扩展密钥用法: 服务器authentication (私人)钥匙types: 交换 (私人)钥匙选项: 钥匙大小:2048 [x]使私钥可导出 通过IIS 7.5中的上述证书, https://domain.local对SAN的请求是安全的,但https://*.domain.local请求不安全,浏览器声明该证书只对domain.local有效(而不是* .domain.local)。 最终,我的目标是有一个在* .domain.local 和 domain.local工作的证书。 使用“Windows证书”pipe理单元中的“自定义证书请求”向导,如何为包含通配符和SAN属性的证书创build证书申请?
我使用基于证书/密钥的ssh身份validation,在非标准端口上运行sshd。 我是否还需要安装denyhosts / fail2ban或基于日志分析的检测? 我有什么优势吗?
我正在和Windows Azure支持团队交谈,似乎你不能分配明确的静态IP地址。 当你设置好的时候,你会“碰巧”得到一个IP地址,但是在特定的IP地址上没有合同保证(例如:总是123.123.123.123)。 如果发生灾难(例如:数据中心自然灾害或意外删除网站部署),您将丢失这些分配的IP。 现在,我的理解是,SSL证书(对于Web服务器)需要在将服务器绑定到证书的证书中指定的静态IP地址。 我们的设置是: 注册商:GoDaddy DNS:Amazon Web Services Route 53 托pipe:Windows Azure Webrole( https://www.server.com )和一个辅助angular色( https://api.server.com ) 有可能有一个SSL证书只绑定到CNAME而不是IP地址? 我怎样才能获得这样的证书(这是一个特殊类的SSL证书)? 最好的办法是为* .server.com提供一个SSL证书(如果可能的话) 感谢帮助!
我需要在两台Windows机器之间build立安全通信。 我为此生成了一组证书,并将它们保存为.x509文件。 如果我在另一台机器上安装这些软件,我The integrity of this certificate cannot be guaranteed. The certificate may be corrupted or may have been altered. The integrity of this certificate cannot be guaranteed. The certificate may be corrupted or may have been altered. 警告。 我明白,这意味着它无法validation链上的证书,但我不知道我需要做什么来授权他们。 以前,我可以通过在证书pipe理器中查看导入的证书中的根证书,将其导出为.cer文件,然后将该文件重新导入到“受信任的根证书颁发机构”存储中来完成此操作,但是, t似乎在这里工作,如果我是诚实的,我基本上这样做是一个巫术过程 – 我不明白它的目的是什么,并希望能够通过Powershell自动化整个事情我想我需要加深我的理解在这里。 除非有人有一个方便的脚本,当然这包括了这个。 这将是非常好的。 我真正想要做的是拥有一组代表当前证书链的文件,这些文件可以作为安装过程的一部分导入,无论需要什么pipe理员交互,都会安装一个工作链,然后可以从我的应用程序中使用在两台机器之间build立一个安全的pipe道。 我正在安装我计划用于LocalMachine\My的实际证书
我想为我的MySQL服务器设置SSLencryption,让用户encryption他们的连接,而不用自己完全validation(如匿名访问,但仍然encryption)。 我想通过这种方式为直接请求我的服务器的客户端添加更多的安全性。 我已经成功地encryption连接,但我不知道这是否可能没有客户端证书,并且谷歌或MySQL文档都没有太大的帮助。 我只想知道这是否可能; (如果是这样,一些build议如何做到这一点将不胜感激); 我正在研究Debian系统(Wheezy,MySQL版本:5.5.29)。 非常感谢!
我使用keytool生成的pkcs12文件遇到问题。 我运行这个命令来生成一个pkcs12客户端证书: keytool -importkeystore -srckeystore client.jks -srcstorepass password -srcalias clientkey -destkeystore client.p12 -deststoretype PKCS12 -deststorepass password -destalias clientkey -noprompt 文件client.p12被创build,浏览器加载它,并要求input密码,然后网站将正常加载。 问题出在谷歌浏览器或任何其他浏览器可以更改文件的密码,通过使用浏览器的设置高级pipe理证书部分中的“导出”证书。 然后他们可以使用input时设置的密码将其加载到其他PC的浏览器。 有没有办法来防止这一点? 提前致谢
拿走'authentication'部分,只是谈论encryption部分! (authentication是一个不同的问题。) 例如:与http://ipv6.google.com的连接可以通过HTTPS进行encryption,如下所示: https : //ipv6.google.com/ (如果您没有IPv6,则可以尝试IPv4: https:// www .google.com ) 是否有可能编程Web服务器以及浏览器,以支持例如 http-over-ipsec://ipv6.google.com 作为更好和更安全的更换https?
我只是把自己locking在SSH之外。 基本上,我使用AllowUsers指令向/ etc / ssh / sshd_config添加了三个用户,这非常棒,因为他们现在可以login,但现在我不能,而且我是sudoers列表中的唯一用户。 我会很高兴地在刚刚添加的那个用户的SSH会话中做一个“su”,但是我没有我的账户密码,只有一个.pem证书文件。
尝试在单台机器上安装Puppet代理/主服务器(计划在工作时安装更多代理)。 我现在陷入了证书签名过程,感觉应该很简单。 手动启动服务器,它会创build一个ca证书 $ sudo puppet master –no-daemonize –verbose Info: Creating a new SSL key for ca Info: Creating a new SSL certificate request for ca Info: Certificate Request fingerprint (SHA256): 59:31:5B:35:9B:45:4B:36:7F:08:3A:80:2E:4C:78:2F:95:6B:33:45:E4:46:54:E8:8F:33:E8:62:15:1D:A8:DE Notice: Signed certificate request for ca Notice: Rebuilding inventory file Info: Creating a new certificate revocation list Info: Creating a new SSL key […]
有没有办法重置自签名的X.509证书到期,但保持公钥和私钥原样? 从技术上讲,这应该不过是“Not After”标签的不同date,而不是旧的签名。 对于CA签名的证书,这也很容易,因为您只需再次发送CSR。 但在这种情况下,我没有任何CSR可用,因为证书是使用OpenSSL的req命令一步创build的。 另一个问题是:将validation信任这个独立的证书的客户仍然认为这是相同的证书,并接受它?